POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU OTWOCKA LIGA SZÓSTEK PIŁKARSKICH

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU OTWOCKA LIGA SZÓSTEK PIŁKARSKICH str. 1

2 SPIS TREŚCI 1. CEL POLITYKI ŹRÓDŁA WYMAGAŃ DOKUMENTY POWIĄZANE ZAKRES STOSOWANIA BEZPIECZEŃSTWO PRZETWARZANIA DANYCH OSOBOWYCH POZIOM BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH DEFINICJE ODPOWIEDZIALNOŚĆ... 6 KIEROWNICTWO... 6 ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI... 7 OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH ZARZĄDZANIE OCHRONĄ DANYCH OSOBOWYCH... 8 PODSTAWOWE ZASADY:... 8 PROCEDURY POSTĘPOWANIA Z DANYMI OSOBOWYMI:... 8 UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH:... 8 EWIDENCJA OSÓB UPOWAŻNIONYCH... 9 ZGODNOŚĆ BEZPIECZEŃSTWO FIZYCZNE OBSZARÓW PRZETWARZANIA OBSZAR PRZETWARZANIA BEZPIECZEŃSTWO ŚRODOWISKOWE BEZPIECZEŃSTWO URZĄDZEŃ FIZYCZNA KONTROLA DOSTĘPU PRZEGLĄDY BEZPIECZEŃSTWA ZARZĄDZANIE INCYDENTAMI MONITOROWANIE INCYDENTÓW ZGŁASZANIE INCYDENTÓW ZBIORY DANYCH OSOBOWYCH Sposób przepływu danych pomiędzy poszczególnymi obszarami (dokument sieć publiczna) POSTANOWIENIA KOŃCOWE Oświadczenie dla członka Stowarzyszenia str. 2

3 Oświadczenie dla sędziego Upoważnienie dla członka Zarządu Upoważnienie dla kapitana/opiekuna drużyny Upoważnienie dla sędziego MIEJSCE PRZETWARZANIA DANYCH ZBIORY DANYCH ŚRODKI TECHNICZNE I ORGANIZACYJNE str. 3

4 1. CEL POLITYKI Niniejszy dokument określa zasady bezpieczeństwa przetwarzania danych osobowych jakie powinny być przestrzegane i stosowane w STOWARZYSZENIU OLSP przez członków, którzy przetwarzają dane osobowe. Stosowanie zasad określonych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez STOWARZYSZENIE OLSP rozumianej jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem. 2. ŹRÓDŁA WYMAGAŃ Polityka bezpieczeństwa przetwarzania danych osobowych w STOWARZYSZENIU OLSP, zwana dalej Polityką została wydana w związku z 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz zgodnie z: Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa - Generalny Inspektor Ochrony Danych Osobowych 3. DOKUMENTY POWIĄZANE Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w STOWARZYSZENIU OLSP. 4. ZAKRES STOSOWANIA Politykę stosuje się do danych osobowych przetwarzanych w formie dokumentów oraz rekordów udostępnianych w sieci publicznej (Internet), danych osobowych oraz wizerunkowych zapisanych na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych, w szczególności dotyczących wdrożonych zabezpieczeń technicznych i organizacyjnych. W zakresie podmiotowym Polityka obowiązuje wszystkich członków STOWARZYSZENIA OLSP mających dostęp do danych osobowych str. 4

5 5. BEZPIECZEŃSTWO PRZETWARZANIA DANYCH OSOBOWYCH Przez bezpieczeństwo przetwarzania danych osobowych rozumie się zapewnienie: poufności właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom; integralności właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; rozliczalności właściwości zapewniającej, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. 6. POZIOM BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH Przy przetwarzaniu danych osobowych należy stosować wysoki poziom bezpieczeństwa w rozumieniu 6 ust. 4 Rozporządzenia, ponieważ część danych zapisanych w dokumentacji oraz dane wizerunkowe są udostępniana w sieci publicznej za pomocą strony internetowej Stowarzyszenia OLSP. 7. DEFINICJE Administrator danych podmiot, który decyduje o środkach i celach przetwarzania danych osobowych, zwany dalej STOWARZYSZENIE OLSP. Administrator Bezpieczeństwa Informacji osoba wyznaczona przez Kierownictwo, odpowiedzialna za nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do dokumentacji lub systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie ochrony danych osobowych. Administrator Systemu Informatycznego osoba odpowiedzialna za prawidłowe funkcjonowanie systemu informatycznego w aspekcie operacyjnym i zabezpieczenia danych osobowych. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie str. 5

6 uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Kierownictwo Zarząd, organ zarządzający i reprezentujący Administratora Danych Osoba upoważniona osoba posiadająca formalne upoważnienie wydane przez Administratora danych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych. Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Rozporządzenie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Ustawa Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Zbiór danych osobowych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie. Zbiór nieinformatyczny - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, prowadzony poza systemem informatycznym, w szczególności w formie kartoteki, skorowidza, księgi, wykazu lub innego zbioru ewidencyjnego. 8. ODPOWIEDZIALNOŚĆ KIEROWNICTWO Do obowiązków Kierownictwa należy zrozumienie oraz zapewnienie świadomości bezpieczeństwa przetwarzania danych osobowych, jego problematyki oraz wymagań. Do obowiązków należy również: podejmowanie odpowiednich i niezbędnych korków majach na celu zapewnienie prawidłowej ochrony danych osobowych; podział zadań i obowiązków związanych z organizacją ochrony danych osobowych, w szczególności wyznaczenie Administratora Bezpieczeństwa Informacji. wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych. str. 6

7 egzekwowanie rozwoju środków bezpieczeństwa przetwarzania danych osobowych; poddawanie przeglądom skuteczność polityki bezpieczeństwa przetwarzania danych osobowych; zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia; zapewnienie aktualności, adekwatności oraz merytorycznej poprawności danych osobowych przetwarzanych w określonym przez nich celu; zapewnienie niezbędnych środków potrzebnych dla zapewnienia bezpieczeństwa przetwarzania danych osobowych. ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI Do obowiązków Administratora Bezpieczeństwa Informacji, należy nadzorowanie przestrzegania zasad ochrony danych osobowych zarówno w systemach informatycznych, jak również w zbiorach danych osobowych prowadzonych w formie papierowej i elektronicznej. Do obowiązków należy również: określenie wymagań bezpieczeństwa przetwarzania danych osobowych; nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu ochrony przetwarzanych danych osobowych; prowadzenie dokumentacji opisującej zastosowaną politykę bezpieczeństwa przetwarzania danych osobowych (niniejsza Polityka oraz wynikające z niej instrukcje i procedury); analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych i przygotowanie oraz przedstawienie Zarządowi zaleceń i rekomendacji dotyczących eliminacji ryzyk ich ponownego wystąpienia. OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do przetwarzanych dokumentów oraz do swojej stacji roboczej. Do obowiązków należy również: przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami; postępowania zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych; zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia; str. 7

8 ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem; informowania o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe do przełożonego, który ma obowiązek poinformować Administratora Bezpieczeństwa Informacji. 9. ZARZĄDZANIE OCHRONĄ DANYCH OSOBOWYCH PODSTAWOWE ZASADY: Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych. Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia. Należy zapewnić poufność, integralność i rozliczalność przetwarzanych danych osobowych. Należy stosować adekwatny do zmieniających się warunków i technologii poziom bezpieczeństwa przetwarzania danych osobowych. PROCEDURY POSTĘPOWANIA Z DANYMI OSOBOWYMI: Dostęp do danych osobowych powinien być przyznawany zgodnie z zasadą wiedzy koniecznej. Dane osobowe powinny być chronione przed nieuprawnionym dostępem i modyfikacją. Dane osobowe należy przetwarzać wyłącznie za pomocą autoryzowanych urządzeń służbowych. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH: Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane na mocy art. 37 Ustawy. Upoważnienia są wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez Administratora Bezpieczeństwa Informacji. W celu upoważnienia do przetwarzania danych osobowych należy dostarczyć do Administratora Bezpieczeństwa Informacji podpisane oświadczenie, którego wzór stanowi załącznik nr 1 niniejszej Polityki. Na podstawie otrzymanego oświadczenia Administrator Bezpieczeństwa Informacji upoważnia str. 8

9 formalnie wnioskującego do przetwarzania danych osobowych i wydaje upoważnienie sporządzane wg wzoru stanowiącego załącznik nr 2 niniejszej Polityki. Upoważnienia, o których mowa powyżej przechowywane są w aktach osobowych członka i obowiązują do czasu ustania członkostwa w Stowarzyszeniu lub ustania obowiązków związanych z przetwarzaniem danych osobowych. EWIDENCJA OSÓB UPOWAŻNIONYCH Ewidencja osób upoważnionych do przetwarzania danych osobowych jest prowadzona przez Administratora Bezpieczeństwa Informacji i zawiera w szczególności: o imię i nazwisko osoby upoważnionej do przetwarzania danych osobowych; o zakres upoważnienia do przetwarzania danych osobowych; o identyfikator (Login i Hasło), jeśli osoba upoważniona została zarejestrowana w systemie informatycznym (strona internetowa), służącym do przetwarzania danych osobowych; o datę nadania i odebrania uprawnień. Kierownictwo Stowarzyszenia OLSP jest zobowiązane do bieżącego informowania Administratora Bezpieczeństwa Informacji o osobach, które utraciły mandat członka Stowarzyszenia w celu weryfikacji listy członków upoważnionych do przetwarzania danych osobowych. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w trakcie członkostwa w stowarzyszeniu, również po jego ustaniu. Osoby upoważnione do przetwarzania danych osobowych zobowiązane są zapoznać się z regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych w STOWARZYSZENIU OLSP, w szczególności Polityki bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. ZGODNOŚĆ Niniejsza Polityka powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi w ramach STOWARZYSZENIA OLSP, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne. Okresowy przegląd Polityki powinien mieć na celu stwierdzenie, czy postanowienia Polityki odpowiadają aktualnej i planowanej działalności STOWARZYSZENIA OLSP oraz stanowi str. 9

10 prawnemu aktualnemu w momencie dokonywania przeglądu. Zmiany niniejszej Polityki wymagają przeglądu innych dokumentów dotyczących ochrony danych osobowych obowiązujących w STOWARZYSZENIU OLSP. 10. BEZPIECZEŃSTWO FIZYCZNE OBSZARÓW PRZETWARZANIA OBSZAR PRZETWARZANIA Dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe oraz części pomieszczeń, gdzie STOWARZYSZENIE OLSP prowadzi działalność. Do takich pomieszczeń zalicza się w szczególności: o o o pomieszczenia, w których zlokalizowana jest dokumentacja oraz stacje robocze lub serwery służące do przetwarzania danych osobowych; pomieszczenia, w których przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego zawierające dane osobowe; pomieszczenia, w których przechowywane są sprawne i uszkodzone urządzenia, elektroniczne nośniki informacji oraz kopie zapasowe zawierające dane osobowe. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych, w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym. Osoby upoważnione zobowiązane są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy jak i po jej zakończeniu, a klucze do miejsc przechowywania danych osobowych nie mogą być pozostawione w zamkach. Wydruki i nośniki elektroniczne zawierające dane osobowe należy przechowywać w zamykanych szafach, które znajdują się w obszarach przetwarzania danych osobowych. Niepotrzebne wydruki lub inne dokumenty należy niszczyć za pomocą niszczarek. Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieuprawnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych. Szczegółowy wykaz obszarów przetwarzania danych osobowych znajduje się w załączniku nr 3 niniejszej Polityki. str. 10

11 BEZPIECZEŃSTWO ŚRODOWISKOWE Lokalizację i umiejscowienie danych osobowych należy starannie dobierać z uwzględnieniem wymaganych aspektów bezpieczeństwa przetwarzania danych osobowych. W szczególności należy rozważyć aspekty dotyczące: o zasilania energią elektryczną; o klimatyzacji oraz wentylacji; o wykrywania oraz ochrony przed pożarem i powodzią; o fizycznej kontroli dostępu. Pomieszczenia wchodzące w skład obszaru przetwarzania danych osobowych należy wyposażyć w odpowiednie środki ochrony fizycznej i organizacyjnej chroniące przed nieautoryzowanym lub nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami pracy. Kopie zapasowe zawierające dane osobowe należy przechowywać w drugiej fizycznej lokalizacji w bezpiecznej odległości od lokalizacji podstawowej. BEZPIECZEŃSTWO URZĄDZEŃ Urządzenia służące do przetwarzania danych osobowych należy przechowywać w bezpieczny i nadzorowany sposób. Urządzenia mobilne takie jak np. komputery przenośne, urządzenia PDA, telefony komórkowe nie powinny być pozostawiane bez opieki jeżeli nie są zastosowane odpowiednie środki ochrony. FIZYCZNA KONTROLA DOSTĘPU Należy wdrożyć procedury eksploatacyjne w celu ochrony dokumentacji danych osobowych oraz dokumentacji systemowej przed nieautoryzowanym lub nieuprawnionym ujawnieniem, modyfikacją, usunięciem i zniszczeniem. Należy wdrożyć politykę czystego biurka i czystego ekranu w celu redukcji ryzyka nieautoryzowanego i nieuprawnionego dostępu lub uszkodzenia danych osobowych. Klucze dostępowe, karty, hasła itd. służące do uzyskania dostępu do systemów informatycznych służących do przetwarzania danych osobowych należy zabezpieczać, a sposób ich uzyskiwania należy szczegółowo zdefiniować w procedurach Przyznawanie dostępu gościom należy wykonywać wyłącznie w określonych i autoryzowanych celach. str. 11

12 Kończąc pracę, należy zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację, wydruki, elektroniczne nośniki informacji i umieścić je w zamykanych szafkach. Monitory należy ustawić w taki sposób aby uniemożliwiać podgląd wyświetlanych danych osobowych przez osoby nieuprawnione. W przypadku korzystania z usług zewnętrznych podmiotów oferujących zbieranie i niszczenie papierów, urządzeń lub nośników zwierających dane osobowe, należy wybrać wykonawcę z odpowiednimi zabezpieczeniami i doświadczeniem. Szczegółowy wykaz środków technicznych i organizacyjnych dostępu do dokumentacji zawierającej dane osobowe znajduje się w załączniku nr 5. Wykaz procedur dostępu do urządzeń służących do przetwarzania danych osobowych oraz aplikacji znajduje się w Instrukcji zarządzania systemem informatycznym. 11. PRZEGLĄDY BEZPIECZEŃSTWA Przeglądy bezpieczeństwa przetwarzania danych osobowych powinny być przeprowadzane okresowo, co najmniej raz na 2 lata w celu określenia wymaganego poziomu zabezpieczeń pozwalającego na ograniczenie ryzyka do poziomu akceptowalnego. Przeglądy zgodności z zasadami bezpieczeństwa przetwarzania danych osobowych urządzeń informatycznych oraz sieci teleinformatycznych należy przeprowadzać okresowo, co najmniej raz na rok. Narzędzia informatyczne służące do przeprowadzania przeglądów bezpieczeństwa przetwarzania danych osobowych powinny być chronione przed nieautoryzowanym lub nieuprawnionym dostępem a ich użycie odpowiednio kontrolowane. 12. ZARZĄDZANIE INCYDENTAMI MONITOROWANIE INCYDENTÓW Incydenty związane z bezpieczeństwem przetwarzania danych osobowych powinny być wykrywane, rejestrowane i monitorowane w celu ich zidentyfikowania i zapobiegania ich wystąpieniu w przyszłości. Zdarzenia systemowe powinny być przechowywane jako materiał dowodowy zaistniałych incydentów związanych z bezpieczeństwem przetwarzania danych osobowych. Użytkownicy systemów powinni znać i przestrzegać zasad zgłaszania incydentów związanych z bezpieczeństwem przetwarzania danych osobowych. str. 12

13 ZGŁASZANIE INCYDENTÓW Zaistniałe zdarzenia związane z naruszeniem lub podejrzeniem naruszenia bezpieczeństwa przetwarzania danych osobowych takie jak np. utrata integralności, niedostępność, awarie, uszkodzenia, ostrzeżenia i alarmy bezpieczeństwa systemów informatycznych, urządzeń teleinformatycznych oraz danych powinny być niezwłocznie zgłaszane do Administratora Bezpieczeństwa Informacji. 13. ZBIORY DANYCH OSOBOWYCH Dokumentacja zbiorów danych osobowych jest prowadzona przez Administratora Bezpieczeństwa Informacji i stanowi załącznik nr 4 niniejszej Polityki. Dane osobowe gromadzone we wskazanych zbiorach są przetwarzane w systemach informatycznych oraz w kartotekach ewidencyjnych, które są zlokalizowane w pomieszczeniach lub części pomieszczeń należących do obszaru przetwarzania danych osobowych. Wskazane w załączniku nr 4 zakresy danych osobowych przetwarzanych w poszczególnych zbiorach danych osobowych są ustalone w oparciu o strukturę zbiorów danych osobowych opracowaną w celu zapewnienia prawidłowego wykonywania zadań statutowych Stowarzyszenia. Zawartość pól informacyjnych, występujących w systemach zastosowanych w celu przetwarzania danych osobowych, musi być zgodna z przepisami prawa, które uprawniają Administratora danych do przetwarzania danych osobowych. 14. Sposób przepływu danych pomiędzy poszczególnymi obszarami (dokument sieć publiczna) Dokumentacja systemów informatycznych służących do przetwarzania danych osobowych powinna zawierać opis współpracy z innymi systemami informatycznymi oraz sposób przepływu danych pomiędzy obszarami. Administrator systemów informatycznych jest zobowiązany do poprowadzenia aktualnej dokumentacji opisującej sposób przepływu danych osobowych pomiędzy obszarami. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych znajduje się w załączniku numer 5 niniejszej Polityki. str. 13

14 15. POSTANOWIENIA KOŃCOWE Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce może być podstawą rozwiązania członkostwa osoby, która dopuściła się naruszenia. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 r., o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 z późn. zm.) oraz przepisy wykonawcze do tej Ustawy. Członkowie STOWARZYSZENIA OLSP zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce, w wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących w STOWARZYSZENIU OLSP, użytkownicy mają obowiązek stosowania zapisów dalej idących, których stosowanie zapewni wyższy poziom ochrony danych osobowych. str. 14

15 Załącznik nr 1A Oświadczenie dla członka Stowarzyszenia... (Miejscowość i data) OŚWIADCZENIE Oświadczam, że zapoznała(e)m się, rozumiem i będę przestrzegać obowiązków wynikających z przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), aktów wykonawczych wydanych na jej podstawie oraz dokumentów w związku z przetwarzaniem danych osobowych, w szczególności: Polityki bezpieczeństwa przetwarzania danych osobowych w Stowarzyszeniu OLSP; Zobowiązuję się do zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem. Zobowiązuję się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia do których uzyskam dostęp w trakcie członkowstwa, również po jego ustaniu. Jednocześnie przyjmuje do wiadomości, że za niedopełnienie obowiązków wynikających z niniejszego oświadczenia ponoszę odpowiedzialność na podstawie przepisów Ustawy o ochronie danych osobowych Imię i nazwisko Podpis Potwierdzam autentyczność podpisu.... podpis pełnomocnika Zarządu Stowarzyszenia Otwocka Liga Szóstek Piłkarskich str. 15

16 Załącznik nr 1B Oświadczenie dla sędziego... (Miejscowość i data) OŚWIADCZENIE Oświadczam, że zapoznała(e)m się, rozumiem i będę przestrzegać obowiązków wynikających z przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), aktów wykonawczych wydanych na jej podstawie oraz dokumentów w związku z przetwarzaniem danych osobowych, w szczególności: Polityki bezpieczeństwa przetwarzania danych osobowych w Stowarzyszeniu OLSP; Zobowiązuję się do zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem. Zobowiązuję się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia do których uzyskam dostęp w trakcie trwania umowy na świadczenie usług sędziowskich na rzecz Stowarzyszenia OLSP, również po jej ustaniu. Jednocześnie przyjmuje do wiadomości, że za niedopełnienie obowiązków wynikających z niniejszego oświadczenia ponoszę odpowiedzialność na podstawie przepisów Ustawy o ochronie danych osobowych Imię i nazwisko Podpis Potwierdzam autentyczność podpisu.... podpis pełnomocnika Zarządu Stowarzyszenia Otwocka Liga Szóstek Piłkarskich str. 16

17 Załącznik nr 2A Upoważnienie dla członka Zarządu IMIENNE UPOWAŻNIENIE do przetwarzania danych osobowych Niniejszym upoważniam Panią/Pana... zajmującą/ego stanowisko... do przetwarzania danych osobowych osób zarejestrowanych jako członkowie Stowarzyszenia Otwocka Liga Szóstek Piłkarskich oraz zawodników biorących udział w rozgrywkach piłkarskich w celu realizacji zadań statutowych. Upoważnienie jest ważne przez okres ważności Pani/Pana mandatu członka Zarządu Stowarzyszenia Otwocka Liga Szóstek Piłkarskich, powołanego przez Walne Zebranie Członków Stowarzyszenia. Jednocześnie informuje, że zgodnie z treścią art. 39 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz.U ) zwanej dalej ustawą - jako osoba mająca dostęp do danych osobowych zobowiązana/y jest Pan/i do zachowania w tajemnicy zarówno samych danych osobowych jak również sposobów ich zabezpieczenia. Kto będąc zobowiązanym do ochrony danych osobowych udostępnia je lub umożliwia do nich dostęp osobom nieupoważnionym dopuszcza się popełnienia przestępstwa określonego w treści art. 51 ustawy, zagrożonego kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. W imieniu Administratora Danych. Pełnomocnik Prezesa Zarządu Stowarzyszenia Otwocka Liga Szóstek Piłkarskich Marcin Kotliński Przyjęłam/jąłem do wiadomości i jednocześnie zobowiązuje się do przestrzegania Regulaminu Ochrony Danych Osobowych * czytelny podpis miejscowość i dat str. 17

18 Załącznik nr 2B Upoważnienie dla kapitana/opiekuna drużyny IMIENNE UPOWAŻNIENIE do przetwarzania danych osobowych Niniejszym upoważniam Panią/Pana... zajmującą/ego funkcję.... do przetwarzania danych osobowych osób wyrażających chęć udziału w rozgrywkach piłkarskich organizowanych pod patronatem OLSP w celu realizacji zadań statutowych związanych z rejestracją zawodników. Upoważnienie jest ważne przez okres ważności Pani/Pana mandatu członka Stowarzyszenia Otwocka Liga Szóstek Piłkarskich.. Jednocześnie informuje, że zgodnie z treścią art. 39 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz.U ) zwanej dalej ustawą - jako osoba mająca dostęp do danych osobowych zobowiązana/y jest Pan/i do zachowania w tajemnicy zarówno samych danych osobowych jak również sposobów ich zabezpieczenia. Kto będąc zobowiązanym do ochrony danych osobowych udostępnia je lub umożliwia do nich dostęp osobom nieupoważnionym dopuszcza się popełnienia przestępstwa określonego w treści art. 51 ustawy, zagrożonego kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. W imieniu Administratora Danych Pełnomocnik Prezesa Zarządu Stowarzyszenia Otwocka Liga Szóstek Piłkarskich Przyjęłam/jąłem do wiadomości i jednocześnie zobowiązuje się do przestrzegania Regulaminu Ochrony Danych Osobowych * Marcin Kotliński czytelny podpis miejscowość i data str. 18

19 Załącznik nr 2C Upoważnienie dla sędziego IMIENNE UPOWAŻNIENIE do przetwarzania danych osobowych Niniejszym upoważniam Panią/Pana... zajmującą/ego funkcję.... do przetwarzania danych osobowych osób zainteresowanych udziałem w rozgrywkach piłkarskich organizowanych pod patronatem OLSP w celu realizacji zadań statutowych związanych z rejestracją zawodników. Dane osobowe będą dostarczane przez przedstawiciela zainteresowanych drużyn w formie deklaracji zgłoszeniowych. Upoważnienie jest ważne przez okres ważności Pani/Pana umowy ze Stowarzyszeniem Otwocka Liga Szóstek Piłkarskich na świadczenie usług sędziowskich w ramach rozgrywek piłkarskich. Jednocześnie informuje, że zgodnie z treścią art. 39 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ( Dz.U ) zwanej dalej ustawą - jako osoba mająca dostęp do danych osobowych zobowiązana/y jest Pan/i do zachowania w tajemnicy zarówno samych danych osobowych jak również sposobów ich zabezpieczenia. Kto będąc zobowiązanym do ochrony danych osobowych udostępnia je lub umożliwia do nich dostęp osobom nieupoważnionym dopuszcza się popełnienia przestępstwa określonego w treści art. 51 ustawy, zagrożonego kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. W imieniu Administratora Danych Pełnomocnik Prezesa Zarządu Przyjęłam/jąłem do wiadomości i jednocześnie zobowiązuje się do przestrzegania Regulaminu Ochrony Danych Osobowych * Stowarzyszenia Otwocka Liga Szóstek Piłkarskich Marcin Kotliński czytelny podpis str. 19 miejscowość i data

20 Załącznik nr 3 MIEJSCE PRZETWARZANIA DANYCH Przetwarzanie danych osobowych odbywa się wyłącznie w siedzibie stowarzyszenia pod adresem: Otwock, ul. Jasna 21/5 Dane osobowe są przetwarzane w pomieszczeniu stanowiącym biuro stowarzyszenia, które zostało wyposażone w niezbędne szafy i kasetki z zamkiem na klucz do bezpiecznego przechowywania zgromadzonych danych osobowych. Dostęp do pomieszczeń i kluczy posiadają tylko upoważnieni członkowie stowarzyszenia, a przetwarzanie danych osobowych odbywa się z zachowaniem niezbędnych procedur bezpieczeństwa. str. 20

21 Załącznik nr 4 ZBIORY DANYCH W STOWARZYSZENIU OLSP utworzono i wydzielono następujące zbiory danych osobowych: A) Deklaracja Członkowska w których przetwarzane są następujące dane: Imię, nazwisko, Adres zamieszkania, Data i miejsce urodzenia i numer pesel. B) 1. Karta Zgłoszeniowa (osoba pełnoletnia) - w których przetwarzane są następujące dane: Imię, Nazwisko, Pesel, Data urodzenia, Wzrost, Waga. 2. Karta Zgłoszeniowa (osoba niepełnoletnia) ) - w których przetwarzane są następujące dane: Imię, Nazwisko, Pesel, Data urodzenia, Wzrost, Waga. Dodatkowo zamieszczone są dane prawnego opiekuna ww. osoby takie jak: Imię, Nazwisko, Adres zamieszkania, telefon i stopień pokrewieństwa. str. 21